Udostępnij za pośrednictwem


Eksportowanie danych historycznych z usługi QRadar

W tym artykule opisano sposób eksportowania danych historycznych z usługi QRadar. Po wykonaniu kroków opisanych w tym artykule możesz wybrać platformę docelową do hostowania wyeksportowanych danych, a następnie wybrać narzędzie pozyskiwania w celu przeprowadzenia migracji danych.

Diagram ilustrujący kroki związane z eksportowaniem i pozyskiwaniem danych.

Aby wyeksportować dane QRadar, należy użyć interfejsu API REST usługi QRadar do uruchamiania zapytań ariel query language (AQL) dotyczących danych przechowywanych w bazie danych Ariel. Ponieważ proces eksportowania intensywnie korzysta z zasobów, zalecamy używanie małych zakresów czasu w zapytaniach i migrowanie tylko potrzebnych danych.

Tworzenie zapytania AQL

  1. W konsoli QRadar wybierz kartę Aktywność dziennika .

  2. Utwórz nowe zapytanie wyszukiwania AQL lub wybierz zapisane zapytanie wyszukiwania, aby wyeksportować dane. Upewnij się, że zapytanie zawiera START funkcje i STOP , aby ustawić zakres dat i godzin.

    Dowiedz się, jak używać języka AQL i jak zapisywać kryteria wyszukiwania w języku AQL.

  3. Skopiuj zapytanie AQL do późniejszego użycia.

  4. Zakoduj zapytanie AQL do formatu zakodowanego w adresie URL. Wklej zapytanie skopiowane w kroku 3 do dekodera. Skopiuj zakodowane dane wyjściowe formatu.

Wykonywanie zapytania wyszukiwania

Zapytanie wyszukiwania można wykonać przy użyciu jednej z tych metod.

  • Identyfikator użytkownika konsoli QRadar. Aby użyć tej metody, upewnij się, że identyfikator użytkownika konsoli używany do migracji danych jest przypisany do profilu zabezpieczeń , który może uzyskiwać dostęp do danych potrzebnych do eksportu.
  • Token interfejsu API. Aby użyć tej metody, wygeneruj token interfejsu API w narzędziu QRadar.

Aby wykonać zapytanie wyszukiwania:

  1. Zaloguj się do systemu, z którego będą pobierane dane historyczne. Upewnij się, że ten system ma dostęp do konsoli QRadar i interfejsu API QRadar na porcie TCP/443 za pośrednictwem protokołu HTTPS.

  2. Aby wykonać zapytanie wyszukiwania, które pobiera dane historyczne, otwórz wiersz polecenia i uruchom jedno z następujących poleceń:

    • W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step>'
      
    • W przypadku metody tokenu interfejsu API uruchom polecenie:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https://<enter_qradar_console_ip_or_hostname>/api/ariel/searches?query_expression=<enter_encoded_AQL_from_previous_step> 
      

      Czas wykonywania zadania wyszukiwania może się różnić w zależności od zakresu czasu AQL i ilości zapytanych danych. Zalecamy uruchomienie zapytania w małych zakresach czasu i wykonywanie zapytań tylko o dane potrzebne do eksportu.

      Dane wyjściowe powinny zwracać stan, taki jak COMPLETED, EXECUTE, , WAITprogress , wartość i search_id wartość. Przykład:

      Zrzut ekranu przedstawiający dane wyjściowe polecenia zapytania wyszukiwania.

  3. Skopiuj wartość w search_id polu . Użyjesz tego identyfikatora, aby sprawdzić postęp i stan wykonywania zapytania wyszukiwania oraz pobrać wyniki po zakończeniu wykonywania wyszukiwania.

  4. Aby sprawdzić stan i postęp wyszukiwania, uruchom jedno z następujących poleceń:

    • W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:

      curl -s -X POST -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
    • W przypadku metody tokenu interfejsu API uruchom polecenie:

      curl -s -X POST -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>' 
      
  5. Przejrzyj dane wyjściowe. Jeśli wartość w status polu to COMPLETED, przejdź do następnego kroku. Jeśli stan to nie COMPLETED, sprawdź wartość w progress polu, a po 5–10 minutach uruchom polecenie uruchomione w kroku 4.

  6. Przejrzyj dane wyjściowe i upewnij się, że stan to COMPELETED.

  7. Uruchom jedno z tych poleceń, aby pobrać wyniki lub zwrócone dane z pliku JSON do folderu w bieżącym systemie:

    • W przypadku metody identyfikatora użytkownika konsoli QRadar uruchom polecenie:

      curl -s -X GET -u <enter_qradar_console_user_id> -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
    • W przypadku metody tokenu interfejsu API uruchom polecenie:

      curl -s -X GET -H 'SEC: <enter_api_token>' -H 'Version: 12.0' -H 'Accept: application/json' 'https:// <enter_qradar_console_ip_or_hostname>/api/ariel/searches/<enter_search_id_from_previous_step>/results' > <enter_path_to_file>.json 
      
  8. Aby pobrać dane potrzebne do wyeksportowania, utwórz zapytanie AQL (kroki 1–4) i ponownie wykonaj zapytanie (kroki 1–7). Dostosuj zakres czasu i zapytania wyszukiwania, aby uzyskać potrzebne dane.

Następne kroki